본문 바로가기
CS/보안

[보안] 웹 통신 보안: SSL, TLS를 이용한 HTTPS 보안 웹 브라우징

by jangThang 2023. 8. 13.
반응형

 웹 통신 보안에는 SSL/TLS 프로토콜이 쓰입니다. 어떤 방식으로 웹페이지 통신을 보호하는지를 알아봅니다.

 

[ Contents ]

     

     

    1. SSL (Secure Sockets Layer)

    클라이언트와 웹 서버 간 데이터를 암호화하여 전송하는 인터넷 보안 프로토콜

     

     초창기 클라이언트-서버 통신은 평문으로 통신했으며, 누구나 패킷만 가로채면 데이터를 엿볼 수 있었습니다. 개인정보와 같은 기밀정보가 쉽게 누설되는 문제를 해결하고자, 1995년 Netscape에서 SSL이라는 인터넷 보안 프로토콜을 개발했습니다.

     SSL를 통해 암호화된 데이터를 주고 받는 HTTP 통신이 가능해졌으며, 이러한 통신방식을 HTTPS라고 합니다. (HTTP Secure)

     

     

    2. TLS (Transport Layer Security)

    클라이언트와 웹 서버 간 데이터를 암호화하여 전송하는 (좀 더 강화된) 인터넷 보안 프로토콜

     

     TLS는 SSL의 후속작입니다. 불과 1년 만에 Netscape가 SSL 업데이트를 포기하자, 새롭게 대체하기 위해 나온 암호화 프로토콜입니다. TLS가 SSL보다 보안이 뛰어나므로 현재는 대부분 TLS를 채택하고 있습니다.

     SSL의 계보를 이었기에, 동작 방식이 비슷합니다. 그래서 SSL/TLS라고 하거나, TLS를 SSL이라고 지칭하는 경우도 간혹 있습니다.

     

     

    TLS 보안인증서

     TLS를 사용하는 웹페이지는 '보안 인증서'가 있습니다. 웹페이지 주소 옆에 자물쇠 모양이 잠겨져 있으며, https://로 시작합니다.

     해당 사이트의 인증서는 방문객도 살펴볼 수 있습니다.

     

    star7sss.tistory.com 사이트의 보안인증서

     Tistory 사이트의 보안인증서 발급기관은 'DigiCert'군요. 보안인증서를 발급해주는 '인증기관'이 따로 있으며, 인증기관은 인증서를 발급하고 인증 서버를 통한 보안 연결을 제공합니다.

     

     

     만약 보안 인증서가 없다면, 이와 같은 오류가 뜨면서 접근이 제한될 수도 있습니다.

     본래 TLS 연결은 회원가입이나 로그인 등 민감 정보가 유출될 경우만 사용했었지만, 지금은 어떤 페이지든 TLS를 이용할 정도로 통상적으로 사용하고 있습니다. 마치 TCP 연결이 기본이 된 것과 비슷합니다.

     

     

    반응형

     

    3. HTTPS

    데이터 보안을 위해 TLS/SSL를 사용한 HTTP 통신

     

     https:// 로 시작하는 모든 사이트들은 HTTPS 통신을 사용합니다. TLS는 HTTP 외에도 FTP, SMTP, VPN 등 여러 프로토콜에 덧붙여 쓰이며, HTTPS는 TLS가 사용되는 대표적인 사례입니다.

     

     

    1) TLS 4-Way Handshake

     TCP 3-way handshake 이후에 TLS 4-way handshake도 추가적으로 실행됩니다. TCP가 안정적인 클라이언트 - 서버 연결을 보장해준다면, TLS는 신뢰성 있는 연결을 인증하는 절차입니다.

     클라이언트는 먼저 인증 서버를 찾고(Client Hello), 인증 서버는 사용 가능한 인증서와 암호화 방식을 제시합니다. (Server Hello). 클라이언트는 인증서(공개키)에 세션 키를 암호화해서 서버에 전달합니다. (Client Key Exchange)

     서버는 공유된 세션 키를 사용해서 암호화된 통신을 위한 세션을 준비합니다. (Set Cipher Spec)

     

     

    2023.07.04 - [CS/데이터통신 & 네트워크] - [네트워크] TCP와 UDP의 필요성과 특징 (w. IP프로토콜의 한계)

     

    [네트워크] TCP와 UDP의 필요성과 특징 (w. IP프로토콜의 한계)

    기존 ip프로토콜에 대해 알아보고, 이를 통해 TCP와 UDP의 필요성과 특징을 알아봅니다. [ Contents ] 1. IP 프로토콜의 한계 1) 비연결성: 수신자가 없거나, 서비스 불능 상태여도 전송됨 2) 비신뢰성:

    star7sss.tistory.com

    2023.05.16 - [CS/보안] - [보안] RSA의 개념과 특징, 예제: 소수를 이용한 비대칭키(공개키) 암호화 기법

     

    [보안] RSA의 개념과 특징, 예제: 소수를 이용한 비대칭키(공개키) 암호화 기법

    RSA 알고리즘에 대해서 알아보고, 암복호화하는 법과 그 예시를 살펴보겠습니다. [ Contents ] 1. RSA 소수를 이용한 비대칭키 암호화 알고리즘 RSA는 개발자들의 이름에서 유래되었으며, 소수를 이용

    star7sss.tistory.com

     

     공개키 암호 방식은 주로 RSA를 이용했으며, 최근에는 좀 더 보완된 알고리즘을 이용한다고 합니다. 공개키 알고리즘 및 RSA 방식에 대한 설명은 위 링크에서 확인하실 수 있습니다.

     

    star가 되고나서 Tistory

    반응형
    저작자표시 비영리 변경금지

    'CS > 보안' 카테고리의 다른 글

    [보안] 컴퓨터 바이러스의 개념과 세대별 진화 과정: 원시, 암호화, 은폐형, 갑옷형, 매크로  (0) 2023.10.10
    [보안] SFTP와 FTPS, 그리고 보안 취약점 (FTP 능동모드에서의 보안 취약점)  (0) 2023.08.14
    [보안] IDS의 개념과 종류: 지식(오용 탐지), 행위(이상 탐지), 호스트(HIDS), 네트워크(NIDS)  (0) 2023.07.20
    [보안] 접근통제 종류: 강제적 접근통제(MAC), 임의적 접근통제(DAC), 역할기반 접근통제(RBAC)  (0) 2023.06.09
    [보안] 공개키(비대칭) 암호: Rabin, ElGamal, ECC  (0) 2023.06.08

    관련글

    댓글

    티스토리툴바